Pour gérer vos consentements :
Categories: CloudSécurité

Faille Heartbleed : le patch d’Akamai était vérolé

Le mouvement de panique engendré par la découverte de la faille Heartbleed, faille touchant le protocole OpenSSL employé par environ deux sites Web sur trois, a-t-il conduit Akamai à agir top vite ? L’entreprise, qui gère environ 30 % du trafic Internet, a reconnu que le bout de logiciel fourni à ses clients pour se prémunir d’Heartbleed contenait un bogue. Ce dernier a été découvert par un chercheur indépendant en sécurité, Willem Pinckaers, a reconnu le directeur technique d’Akamai dans un billet de blog.

Cette vulnérabilité pousse Akamai à réémettre tous les certificats SSL et les clefs de sécurité assurant les connexions cryptées entre les sites de ses clients et les internautes. La société américaine fait tourner 147 000 serveurs dans 92 pays. Elle est l’une des nombreuses sociétés à avoir recours à la librairie open source de cryptage OpenSSL.

Rappelons que la faille Heartbleed résulte d’une erreur de programmation d’un développeur allemand voici deux ans. Cette erreur permet notamment, si elle est exploitée, à un assaillant de récupérer la clef privée utilisée pour créer une connexion SSL.

Patch bourré de bogues

Après divulgation de l’existence d’Heartbleed, Akamai avait expliqué que son implémentation de OpenSSL était moins fragile que d’autres, en raison d’un code propriétaire modifiant la façon dont les clefs de cryptage sont stockées. Ce qui n’avait pas empêché la société de le modifier, créant une variante censée sécuriser davantage les clefs privées. C’est cette variante qui s’est révélée défectueuse.

A la décharge d’Akamai, en fin de semaine dernière, la société ne présentait son code modifié que comme un prototype ne devant pas être mis en production tel quel. « Peut-être Akamai ne fait actuellement pas tourner cette version en production, mais un autre outil d’allocation mémoire ‘super-sécurisé’. Quoi qu’il en soit, la société ne devrait pas soumettre à la communauté OpenSSL des patch non fonctionnels et bourrés de bogues, tout en affirmant que ces dernier protègent Akamai de l’attaque Heartbleed », assure Willem Pinckaers, qui affirme que l’analyse du code lui a pris… 15 minutes.

Le fait que la société ait pris le parti de réémettre tous les certificats utilisés par ses plates-formes montre que la démonstration de Willem Pinckaers doit avoir une certaine portée. Et concerne, probablement, le code d’implémentation avant même la publication de la variante de la fin de la semaine dernière.

En complément :

– Heartbleed : la faille qui met OpenSSL, et la NSA, sur la sellette

– Réseau : les matériels Cisco et Juniper touchés par la faille Heartbleed

Recent Posts

5 chiffres du marché de l’emploi cadre dans l’informatique

Métiers, secteurs, volumes d'offres... Le point, à partir des données de l'Apec, sur quelques indicateurs…

3 jours ago

Serverless : comment Airbus a développé son app de tracking W@y Oversize

Airbus a mis en place Squid, une équipe spécialisée qui a créé un pipeline de…

3 jours ago

Open Web Search : vers un Google européen ?

En gestation depuis 2019, le projet Open Web Search se lance officiellement, à l'appui d'un…

3 jours ago

Java 19 : 7 améliorations pour les développeurs

Des modèles étendus d'enregistrement au portage sur Linux/RISC-V, Java 19 est pensé pour renforcer le…

3 jours ago

Adrien Vandeweeghe prend la direction de Trellix en France

Le nouveau directeur de Trellix a pour mission de développer commercialement la filiale française, dont…

3 jours ago

Mainframe : une initiative de modernisation à la Fondation Linux

L'Open Mainframe Project dédie un groupe de travail à la question de la modernisation. La…

3 jours ago